路由器cpu安全设计
如果您遇到了路由器cpu安全设计的问题,那么本文将为您提供详细的解决方案,同时还会涉及到路由安全性的相关知识点。
本文内容目录一览:
- 1、路由器CPU性能的知识
- 2、路由器cpu负载高怎么解决
- 3、在华为路由器中可以针对设备配置cpu防攻击策略以下哪种不属于防cpu攻击的方式?
- 4、路由器怎么设置最稳定
- 5、如何避免路由器攻击九大方法
路由器CPU性能的知识
路由器作为网络的接口设备,在整个架构中起着至关重要的作用,从结构上,路由器是一种专用的计算机系统,而路由器和PC机一样,有着中央处理单元CPU,而不同的路由器,其CPU一般也不相同,CPU也就是路由器的处理中心。下面我就为大家介绍一下关于路由器CPU性能的具体知识吧,欢迎大家参考和学习。
我发现到,以往不少路由器导购类 文章 中,不少地方强调CPU性能并不完全反映路由器性能,而是由路由器吞吐量、时延和路由计算能力等指标体现。因此,许多用户在选择及采购路由器时,都有意无意地忽略了路由器CPU性能,而注重产品的功能等方面的因素。
而事实上,在路由器,特别是新一代被普通应用的宽带多WAN路由器中,由于提供更多先进的功能,需要更多复杂的运算能力,CPU的性能直接决定着产品的硬件性能,不能再被有意购买消费者忽视。而常被强调的路由器的吞吐量、时延和路由计算能力等这些重要指标,都无不与CPU的性能有着莫大的关系。
一是许多购买者都比较注重的路由器吞吐量,宽带路由器的吞吐量是指的内部局域网和外部网络之间的数据流量,也就是LAN-WAN之间的数据流量。而不是LAN-LAN之间的流量,是指在不丢包的情况下单位时间内通过的数据包数量。如果吞吐量太小,就会使作为内外网之间的数据信道的流量管理成为网络瓶颈,给整个网络的传输效率带来负面影响。吞吐量是宽带路由器的硬件性能指标,宽带路由器CPU将会影响到该吞吐量的数值。
另外一个是时延,时延主要由两大因素造成:传输信道造成的链路传输时延和队列时延。前者主要取决于传输信道所采用的物理介质(如采用光纤传输还是采用无线传输等)并且该时延是固定不变的。而后者很大程度上取决于网关节点路由器的处理速度,也就是取决于该路由器CPU的计算处理能力。
其它 重要指标如路由计算能力等相关的因素,都无不和CPU的主频、总线宽度(16位还是32位)、Cache容量和结构、内部总线结构、运算模式等有着一定的关联。无论如何,路由器特别是多WAN口宽带路由器处理器的性能,都是不应被忽视的。那究竟现在的网络,需要的是怎样的路由器?及新一代的路由器对CPU的要求是如何呢?
提高性能第一位
以住,网络应用环境比较单一,网络中的应用及业务都较少,对路由器的业务性能,可靠性,安全性,服务质量等要求也就较低。但是近年来,网络发展越来越快,人们对信息人的要求也越来越高,我们可以看到,不仅应用环境运行环境和业务特点各有不同,建网的方式也千差万别,对路由器业务的需求也越来越多,日益复杂。
例如中小企业的网络规模越来越大,多种网络应用、不同用户的多种应用要求,要求宽带路由器的功能齐全、稳定。又例如。有越来越多的企业将众多业务引入了企业网,也有需建立企业内网络等的业务,而这些业务又各需获取相对独立的资源,来满足各个不同方面及应用的要求。
路由器提供的业务类型将越来越丰富,其压力也随之而加大,路由器处理器的性能受到了很多的考验。性能已成为路由器发展中与业务能力并驾齐驱的关键因素,路由器需要的已不仅仅是业务功能的"有"或"无"的问题,而是如何提供网络整体高品质的业务保证。
过去的路由器处理速度最高为150-200MHz之间,以这样的效能,跑单WAN路由应用是足够,但是若网吧需要进行带宽管理或防火墙等动作时,对每个封包都要进行过滤,这时,性能不足的CPU就会出现响应速度偏低、对应数据处理的能力不足,处理器资源被大量占用,降低进程处理速度的情况,不仅不能将带宽管理等功能发挥出来,更是影响了原有的带宽,得不偿失;
又例如是企业要启动QoS、安全、业务时,处理器就会出现性能急剧下降的情况,成为性能瓶颈,甚至出现 死机 的情况,继而导致整个网络的瘫痪或崩溃,当然就遑论为用户提供高品质的服务了。当CPU的性能不能满足业务的处理要求,则系统性能将大幅下降,通常会损失一半以上。
因此,多WAN口路由器必须采用高速的CPU及大容量的存贮器,否则根本无法胜任多个WAN端口的流量,更不用说对每一个IP包进行解析处理的各种繁重任务了。
CPU指标也重要
由以上的分析可以看出,要提供高品质的业务保证,首先要解决性能瓶颈--CPU的性能问题。而要判断路由器的CPU是否符合要求,目前一般以以下几个指标及参数进行分析及判别。
宽带路由器的主要硬件包括处理器、内存、闪存、广域网接口和局域网接口,其中处理器即CPU,就是最核心的部件,其中有以下的几个关于CPU的重要指标,是决定宽带路由器档次的关键。
首先,CPU 的指标是 MIPS (Million Instruction per secon, 每秒能处理的百万个指令),也就是路由器的处理能力了,前面已经说过,如果CPU的处理能力不足,就会影响路由器内部软件系统,当不同功能指令集中地发出时,就会在CPU这个性能瓶颈上造成堵塞,导致死机的情况出现。因此,MIPS的指数越大,即其CPU的计算处理能力就越高,从而保证了路由器在处理各种复杂业务时具有足够的处理能力,确保启动复杂业务时可保持较高的线速转发。
CPU 的时钟频率,单位为Mhz,数字愈大代表CPU执行指令的速度愈快,也是CPU性能比较的方式之一。
I-Cache (指令高速缓存) D-Cache (数据高速缓存) 的大小会影响 CPU 的效率。高速缓冲存储器Cache是位于CPU与内存之间的临时存储器,它的容量比内存小但交换速度快。在Cache中的数据是内存中的一小部分,但这一小部分是短时间内CPU即将访问的,当CPU调用大量数据时,就可避开内存直接从Cache中调用,从而加快读取速度。由此可见,在CPU中加入Cache是一种高效的解决方案。在传输速度有较大差异的设备间可以利用Cache作为匹配来调节差距,或者说是这些设备的传输信道。
CPU性能大PK
那么,目前市面上在用的路由器,其CPU的性能到底是怎样的呢?
以目前来说,市面上最常用的多WAN路由器处理器是ARM9或MIPS的产品,这二种处理器,处理速度最高为150-200MHz之间,在效能方面只属一般,要兼备连接功能等特殊应用的性能项,必须采用更快的处理器。现在最适用于多WAN路由器应用的处理器,首推Intel IXP425 533MHz处理器,它可大幅改善路由处理的效能。
以上的MIPS推算是从同系列核心,或是类似系列核心的数值所推算出来的近似值,不能代表实际的数值。真实的数据应该要从 ARM、MIPS、或是 Intel 取得为准。
以上列出的几个重要参数,均对路由器的其它一些功能起着重要的决定作用。由对比中可以看出,Intel IXP533MHz 的效能大约是另外两个的 2.5 倍,而时脉、缓存等的配置亦因应有较高的提升,从而保证了路由器在处理各种复杂业务时具有足够的处理能力,确保启动复杂业务时可保持较高的性能。
另外,为了因应网络处理的加速,辅助处理器就像 台式机 的运算处理器一样,专门执行特定的工作,可让主 CPU 做更有效率的其它运算,相当于有多颗处理器可处理路由、带宽管理、QoS等的工作,实际的执行性能较数字上的2.5倍为高。
以实际应用来看,我们发现传统ARM或MIPS为基础的处理器,在网吧使用的带机量,在没有作任何带宽管理设定下,最多只有五十个使用者速度即慢下来。在设定带宽管理的情况下,则依设定的规则,人数更少时即出现网速变慢。
结语
新一代的处理器使路由器能力非常突出, WAN to LAN吞吐量达到线速或准线,远非普通中低端的传统企业级路由器和SOHO级路由器可比,消费者购买时需要注意。
好的CPU就像是汽车的引擎,引擎不够力,再好的车子也跑不起来,再完善的系统也形同虚设。在新一代应用环境,如大型网吧,大型企业中,网络架构的可用性和稳定性同样重要。总而言之,在选购新一代宽带路由器产品时,其CPU的性能是绝不能被轻易忽略掉的。
路由器cpu负载高怎么解决
cpu负载过高可以分为两个情况。
第一种,就是你的cpu落伍了,如果是10年前的cpu,核心偏少,主频偏低,运行现在的操作系统,随便开个网页看个视频网站,你的cpu都需要全力工作才能够播放顺利的话,也就是cpu工作能力太弱,只能高负载进行工作,这是硬件方面不足导致的。
第二种,就是可能你的系统问题,也就是后台有使用cpu的软件在运行,导致你在这个情况下继续正常使用,cpu要兼顾后台程序还需要兼顾你前台的正常使用,负载当然就会高起来。这种情况,有可能是某些程序后台自动更新或同步,还有可能是中了病毒和木马也会有类似情况,要自己具体分析一下才知道。用资源管理器看看都是什么程序在使用cpu。
在华为路由器中可以针对设备配置cpu防攻击策略以下哪种不属于防cpu攻击的方式?
这个路由器可以针对具体的CPU进行相应的防策略工具设施,在处理的时候主要就是需要在路由器的系统参数当中添加这种过滤的方式。
路由器怎么设置最稳定
很多人都用路由器,但怎么设最稳定呢?下面我给大家介绍一下路由器怎么设置最稳定吧。
一、路由器怎么设置最稳定 篇1
1、将无线路由器连接好,相信这个难不倒大家吧,连接好之后,启动路由器。
2、无线路由器参数设置
3.用网线将无线路由器和电脑连接起来,当然也可以直接使用无线搜索连接,但是新手还是建议使用网线直接连接即可。
4.连接好之后,打开浏览器,建议使用IE,在地址栏中输入192.168.1.1进入无线路由器的设置界面。
5.需要登录之后才能设置其他参数,默认的登录用户名和密码都是admin,可以参考说明书。
6.登录成功之后选择设置向导的界面,默认情况下会自动弹出。
7.选择设置向导之后会弹出一个窗口说明,通过向导可以设置路由器的基本参数,直接点击下一步即可。
8.根据设置向导一步一步设置,选择上网方式,通常ADSL用户则选择第一项PPPoE,如果用的是其他的网络服务商则根据实际情况选择下面两项,如果不知道该怎么选择的话,直接选择第一项自动选择即可,方便新手操作,选完点击下一步。
9.输入从网络服务商申请到的账号和密码,输入完成后直接下一步。
10.完成操作,查看效果。
二、 路由器安全漫谈
对于黑客来说,利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期,误导信息流量,使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己,但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。
堵住安全漏洞
限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露,这就使得黑客抢在供应商发行补丁之前利用受影响的系统,这需要引起用户的关注。
避免身份危机
黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的IT员工辞职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能,这样即使黑客能够浏览系统的配置文件,他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上,用户可以配置一些协议,如远程验证拨入用户服务,这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证,以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分,后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。
禁用不必要服务
拥有众多路由服务是件好事,但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是,禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步。不过,确保网络设备时钟同步的最佳方式不是通过路由器,而是在防火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上,用户很少需要运行其他服务,如SNMP和DHCP。只有绝对必要的时候才使用这些服务。
限制逻辑访问
限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法,但如果无法避免Telnet,不妨使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。
控制消息协议(ICMP)有助于排除故障,但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客搜集上述信息,只允许以下类型的ICMP流量进入用户网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外,逻辑访问控制还应禁止ICMP流量以外的所有流量。
使用入站访问控制将特定服务引导至对应的服务器。例如,只允许SMTP流量进入邮件服务器;DNS流量进入DSN服务器;通过安全套接协议层(SSL)的HTTP(HTTP/S)流量进入Web服务器。为了避免路由器成为DoS攻击目标,用户应该拒绝以下流量进入:没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击,但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。
用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量,只允许有效的源地址包离开网络。这有助于防止IP地址欺骗,减小黑客利用用户系统攻击另一站点的可能性。
监控配置更改
用户在对路由器配置进行改动之后,需要对其进行监控。如果用户使用SNMP,那么一定要选择功能强大的共用字符串,最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置,用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问,用户就能防止黑客改动或关闭接口。此外,用户还需将系统日志消息从路由器发送至指定服务器。
为进一步确保安全管理,用户可以使用SSH等加密机制,利用SSH与路由器建立加密的远程会话。为了加强保护,用户还应该限制SSH会话协商,只允许会话用于同用户经常使用的几个可信系统进行通信。
配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议(RIP),RIP很容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议(BGP)和开放最短路径优先协议(OSPF)等协议,以便在接受路由更新之前,通过发送口令的MD5散列,使用口令验证对方。以上措施有助于确保系统接受的任何路由更新都是正确的。
实施配置管理
用户应该实施控制存放、检索及更新路由器配置的配置管理策略,并将配置备份文档妥善保存在安全服务器上,以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。
用户可以通过两种方法将配置文档存放在支持命令行接口(CLI)的路由器平台上。一种方法是运行脚本,脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统;另外一种方法是在配置服务器到路由器之间建立IPSec隧道,通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前,制订详细的逆序操作规程。
三、 路由器怎么设置最稳定 篇3
在“wan”菜单下面,共有“连接类型”、“动态ip”、“静态ip”、“pppoe”和“dns”五个子项。单击各个子项,您即可进行相应的设置,下面将详细讲解各个子项的功能。
1 连接类型。
您可以根据您的上网方式选择相对应的internet连接类型,有动态ip地址、静态ip地址和pppoe三种类型。选择相应的连接类型,点击“保存”按钮即可转到相应的配置页面,在下面介绍各个页面的配置参数。参照阿尔法路由器说明书!
2 动态ip,本页面为动态ip方式上网时可以设置的项目。
(1)获得ip地址:因为动态获取的ip地址经常会改变,如果您向固定获取同一个ip地址,可以在此输入该ip地址。
(2)最大传输单元:路由器在动态获取ip地址连接时的最大传输单元值,一般保持默认值即可。
(3)mac 克隆:mac地址克隆,如果需要此功能,请选择启用。
(4)mac 地址:mac地址,将需要克隆的mac地址输入框中,点击“克隆 mac 地址”按钮。
3 静态ip,本页面为静态ip方式上网时可以设置的项目。
(1)isp分配的ip地址:路由器wan接口的ip地址,由isp提供。
(2)子网掩码:路由器wan接口的子网掩码,由isp提供,一般为:255.255.255.0。
(3)isp网关ip:路由器的网关地址,由isp提供。
(4)最大传输单元:路由器在动态获取ip地址连接时的最大传输单元值,一般保持默认值即可。
(5)isp时候需要更多的ip地址?:本路由器支持wan接口绑定多个ip地址,如果您需要该功能,选中“是”选框,并弹出增加ip地址对话框,输入您的ip地址,点击“增加”按钮添加ip地址,添加完成后单击“保存”保存设置并完成设置。参照阿尔法路由器说明书!
4 pppoe,本页面为pppoe虚拟拨号方式上网时可以设置的项目。
(1)用户名:您的adsl的帐号名。
(2)密码:您的adsl帐户的.密码。
(3)密码确认:重复输入您的adsl帐户的密码。
(4)服务器名:有些isp需要此名称,可以向isp咨询。
(5)最大传输单元mtu(546-1492):路由器在pppoe拨号连接时的最大传输单元值,一般保持默认值即可。
(6)最大空闲时间:设置路由器的最大空闲时间值,在这段时间内如果没有任何数据流通过将会自动断开pppoe连接,断开后如有任一台计算机发出连接请求,路由器会自动拨号上网。
(7)连接模式:路由器的连接模式,共有“保持激活”、“自动连接”和“手动连接”三种。
①保持激活:路由器拨号成功后一直保持在线状态,不会自动断开连接。
②自动连接:路由器在最大空闲时间断开连接后自动拨号连接上网。参照阿尔法路由器说明书!
③手动连接:路由器在最大空闲时间断开连接或者手动断开连接后不会自动连接,需要手工连接。
5 dns,本页面手工指定您当地的dns服务器的ip地址。
(1)主域名服务器ip地址:由isp提供,可向isp咨询。
(2)从域名服务器ip地址:由isp提供,可向isp咨询。参照阿尔法路由器说明书!
四、 路由器的设置
进入电脑桌面,右击“网络”,选择“属性”。
进入网络和Internet页面,点击“以太网”。
然后点击“详细信息”。
找到网关地址,我的是192.168.1.1。
打开浏览器在地址栏输入192.168.1.1,敲击回车。
进入网站后弹出登录框,输入用户名和密码,一般都是统一的用户名和密码admin,不知道的可以看看路由器的背面,上面有写。
进入后点击左侧向导中的设置向导。
在设置向导中点击下一步。
选择上网的方式,点击下一步。
再按照向导一步一步完成就可以了。
五、 路由器的功能
(1) 协议转换: 能对网络层及其以下各层的协议进行转换。
(2) 路由选择: 当分组从互联的网络到达路由器时,路由器能根据分组的目的地址按某种路由策略,选择最佳路由,将分组转发出去,并能随网络拓扑的变化,自动调整路由表。
(3) 能支持多种协议的路由选择: 路由器与协议有关,不同的路由器有不同的路由器协议,支持不同的网络层协议。如果互联的局域网采用了两种不同的协议,例如,一种是TCP/IP协议,另一种是SPX/IPX协议(即Netware的传输层/网络层协议),由于这两种协议有许多不同之处,分布在互联网中的TCP/IP(或SPX/IPX)主机上,只能通过TCP/IP(或SPX/IPX)路由器与其他互联网中的TCP/IP(或SPX/IPX)主机通信,但不能与同一局域网中的SPX/IP(或TCP/IP)主机通信。多协议路由器能支持多种协议,如IP,IPX及X.25协议,能为不同类型的协议建立和维护不同的路由表。这样不仅能连接同一类型的网络,还能用它连接不同类型的网络。这种功能虽然使路由器的适应性变强,但同时也使得路由器的整体性能降低,现在IP协议在网络中越来越占主导地位,因此在下一代路由器(如交换式路由器)只需要支持IP协议。
(4) 流量控制: 路由器不仅具有缓冲区,而且还能控制收发双方数据流量,使两者更加匹配。
(5) 分段和组装功能: 当多个网络通过路由器互联时,各网络传输的数据分组的大小可能不相同,这就需要路由器对分组进行分段或组装。即路由器能将接收的大分组分段并封装成小分组后转发,或将接收的小分组组装成大分组后转发。如果路由器没有分段组装功能,那么整个互联网就只能按照所允许的某个最短分组进行传输,大大降低了其他网络的效能。
(6) 网络管理功能: 路由器是连接多种网络的汇集点,网间分组都要通过它,在这里对网络中的分组、设备进行监视和管理是比较方便的。因此,高档路由器都配置了网络管理功能,以便提高网络的运行效率、可靠性和可维护行。
一个路由器必然有大于或者等于2的网络接口,这样它才存在路由的功能,否则,如果只有一个接口的话,也就无所谓"寻路"了!这里说的网络接口不一定是物理上的接口,例如网卡或其他,也可以是虚拟的接口,例如隧道入口等。
如前面所描述的,一个路由器上运行的路由信息可以是静态配置的,也可以是动态产生。前者通过手工配置完成、而后者则通过在路由器上运行跑相关路由协议的程序来根据网络状态动态改变内核中的路由表。下面我们仔细介绍一些这两类路由器的配置。通常,一个路由器既有静态配置的部分,又有动态配置的部分,二者结合起来。
如何避免路由器攻击九大方法
也就是说任何人都可以在其局域网上使用且仅能用于内部的IP地址。这些特定的IP地址是不允许用在公网上的。但在将路由器用于互联网上的通信时,它还使用另外一个不同的IP地址,即公网IP地址。路由器的管理员无法控制公网IP地址,它是由把路由器连接到互联网的ISP提供的。 这样一来,除非做到公网IP仅能被互联网上的计算机找到,而私有IP地址仅能被局域网上的计算机看到,这样才能够筑起一道屏障,否则黑客们便可能登录进路由器,进而危及到整个局域网的设备。 就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。 2. 修改默认口令:据卡内基梅隆大学的计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。3. 禁用HTTP设置和SNMP(简单网络管理协议): 你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是,这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置,禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP,那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。 4. 封锁ICMP(互联网控制消息协议)ping请求: ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。 5. 禁用来自互联网的telnet命令: 在大多数情况下,你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。 6. 禁用IP定向广播: IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会导致缓存溢出。 7. 禁用IP路由和IP重新定向: 重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。8. 包过滤: 包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围。9. 禁用不必要的服务: 无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。
通过应用这些技巧和方法,您可以更好地管理和保护您的网络,让您的上网体验更加愉快和安全。